Security Lab

Email-Worm.Win32.Sober.q

Email-Worm.Win32.Sober.q

Вредоносная программа, написанная на основе исходных кодов почтового червя Email-Worm.Win32.Sober, однако в ней отсутствует функция распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки «праворадикального» толка.

Email-Worm.Win32.Sober.q («Лаборатория Касперского») также известен как: W32/Sober.gen@MM (McAfee), Win32.HLLM.Generic.345 (Doctor Web), Troj/Sober-Q (Sophos), WORM_SOBER.U (Trend Micro), Win32.Sober.Q@mm (SOFTWIN), Worm.Sober.Q (ClamAV), W32/Sober.W.worm (Panda), Win32/Sober.P (Eset)

Вредоносная программа, написанная на основе исходных кодов почтового червя Email-Worm.Win32.Sober, однако в ней отсутствует функция распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки «праворадикального» толка.

Вирус представляет собой PE EXE-файл размером 53 КБ. Упакован UPX. Размер распакованного файла — около 185 КБ. Написана на языке Visual Basic. Вирус попадает на компьютеры при помощи почтового червя Sober.p, который содержит функцию загрузки файлов с нескольких интернет-сайтов.

Инсталляция

После запуска вирус копирует себя в директорию %WINDIR%\Help\Help под следующими именами:

  
  csrss.exe
  services.exe
  smss.exe
  

Вирус регистрирует себя в ключе автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "SystemBoot"="%windir%\help\
  help\services.exe"
  

Также изменяет ключ системного реестра:

  
  [...\exefile\shell\open\command]

Это позволяет ему получать управление при каждом запуске любого исполняемого файла в зараженной системе.

Также червь создает несколько вспомогательных файлов в системе:

  
  adcmmmmq.hjg
  fastso.ber
  gdfjgthv.cvq
  langeinf.lin
  sacri2.ggg
  sacri3.ggg
  sysonce.tst
  seppelmx.smx
  xcvfpokd.tqa

Вирус ищет адреса электронной почты в файлах со следующими расширениями:

  
  abc
  abd
  abx
  adb
  ade
  adp
  adr
  asp
  bak
  bas
  cfg
  cgi
  cls
  cms
  csv
  ctl
  dbx
  dhtm
  doc
  dsp
  dsw
  eml
  fdb
  frm
  hlp
  
  	
  
  imb
  imh
  imh
  imm
  inbox
  ini
  jsp
  ldb
  ldif
  log
  mbx
  mda
  mdb
  mde
  mdw
  mdx
  mht
  mmf
  msg
  nab
  nch
  nfo
  nsf
  nws
  ods
  
  	
  
  oft
  php
  phtm
  pl
  pmr
  pp
  ppt
  pst
  rtf
  shtml
  slk
  sln
  stm
  tbb
  txt
  uin
  vap
  vbs
  vcf
  wab
  wsh
  xhtml
  xls
  xml
  

Найденные адреса электронной почты сохраняются в файлы с именами:

  
  voner1.von
  voner2.von
  voner3.von
  

Вирус не собирает адреса, в которых имеются строки:

  
  .dial.
  .kundenserver.
  .ppp.
  .qmail@
  .sul.t-
  @arin
  @avp
  @ca.
  @example.
  @foo.
  @from.
  @gmetref
  @iana
  @ikarus.
  @kaspers
  @messagelab
  @nai.
  @panda
  @smtp.
  @sophos
  @www
  abuse
  announce
  antivir
  anyone
  anywhere
  bellcore.
  bitdefender
  clock
  -dav
  detection
  domain.
  emsisoft
  ewido.
  freeav
  free-av
  ftp.
  gold-certs
  google
  
  	
  
  host.
  iana-
  iana@
  icrosoft.
  ipt.aol
  law2
  linux
  mailer-daemon
  mozilla
  mustermann@
  nlpmail01.
  noreply
  nothing
  ntp-
  ntp.
  ntp@
  reciver@
  secure
  smtp-
  somebody
  someone
  spybot
  sql.
  subscribe
  t-dialin
  test@
  time
  t-ipconnect
  user@
  variabel
  verizon.
  viren
  virus
  whatever@
  whoever@
  winrar
  winzip
  you@
  yourname 

Вирус создает файл %system%\Spammer.ReadMe со следующим содержанием:

  
  [ссылка]
  [ссылка]
  
  Ich bin immer noch kein Spammer!
  Aber sollte vielleicht einer werden :)
  
  In diesem Sinne 

Вирус рассылает по всем найденным адресам, относящимся к доменам at, ch, de, gmx и li письма с текстами на немецком языке.

По всем остальным адресам идет рассылка писем на английском языке.

В вирусе содержится несколько десятков различных вариантов текстов и ссылок для рассылки.

Прочее

Аналогично предыдущим вариантам червя Sober, данный вирус регулярно проверяет системное время, путем обращения к нескольким NTP-серверам. При наступлении 11 мая 2005 года или более поздней даты, он пытается загрузить произвольные файлы с нескольких интернет-ресурсов:

  
  free.pages.at
  home.arcor.de
  home.pages.at
  people.freenet.de
  scifi.pages.at

Вирус пытается обнаружить в памяти и прекратить работу приложений, содержащих в названии следующие строки:

  
  fxsob
  gcas
  gcip
  giantanti
  inetupd.
  microsoftanti
  hijack
  nod32kui
  nod32.
  sober
  s-t-i-n-g  

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!